信息科技風險審計方法及過程

信息科技風險審計

方法及過程

——摘自北京時代新威信息技術?信息科技風險審計戰(zhàn)略部署?為幫助銀行客戶滿足銀監(jiān)會?商業(yè)銀行信息科技風險審計管理指引?等相關監(jiān)管要求，同時進一步加強信息技術建設，全面強化風險管理，越來越多的企業(yè)已經開始為多家銀行提供信息科技風險審計效勞了，本文就是北京時代新威信息技術〔以下簡稱時代新威〕內部人員總結出的對于信息科技風險審計的方法及過程。

信息科技風險審計范圍：

一〕信息科技治理二〕信息科技風險管理三〕信息平安四〕信息系統(tǒng)開發(fā)測試和維護五〕信息科技運行六〕業(yè)務連續(xù)性管理七〕外包八〕內部審計九〕外部審計信息科技風險審計之

——信息科技治理

信息科技治理是指對現代信息技術如通訊技術，信息處理技術、控制技術等的科學管理活動和過程。時代新威的審計專家指出，“它是以信息效勞業(yè)務的開展與社會的實際需要作為依據，組織好各種信息技術的開發(fā)和應用，并對信息技術進行標準化、標準化管理。〞

信息科技治理戰(zhàn)略必須要解決下述主要問題：

〔1〕保證構造合理的信息系統(tǒng)結構并將其實現?！?〕保證新系統(tǒng)開發(fā)方式可以滿足企業(yè)長期維護的目標?！?〕保證內部和外部采購的決策能得到認真的考慮?！?〕決定信息技術運行是由一個部門管理還是分成一系列小單元管理，按照小單元進行管理雖然本錢高，但是能為用戶提供更好的效勞。

信息科技風險審計之

——信息科技風險管理信息科技是指計算機、通信、微電子和軟件工程等現代信息技術，在商業(yè)銀行業(yè)務交易處理、經營管理和內部控制等方面的應用，并包括進行信息科技治理，建立完整的管理組織架構，制訂完善的管理制度和流程。在風險管理方面，北京時代新威信息技術與許多商業(yè)銀行都有合作成功的案例，其工作內容可總結為以下兩點。

信息科技風險，是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。

信息科技風險管理的目標是通過建立有效的機制，實現對商業(yè)銀行信息科技風險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行平安、持續(xù)、穩(wěn)健運行，推動業(yè)務創(chuàng)新，提高信息技術使用水平，增強核心競爭力和可持續(xù)開展能力。信息科技風險審計之

——信息平安信息平安主要包括以下五方面的內容，即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統(tǒng)的平安性。信息平安本身包括的范圍很大，其中包括如何防范商業(yè)企業(yè)機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等。網絡環(huán)境下的信息平安體系是保證信息平安的關鍵，包括計算機平安操作系統(tǒng)、各種平安協議、平安機制〔數字簽名、消息認證、數據加密等〕，直至平安系統(tǒng)，如UniNAC、DLP等，只要存在平安漏洞便可以威脅全局平安。信息平安是指信息系統(tǒng)〔包括硬件、軟件、數據、人、物理環(huán)境及其根底設施〕受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息效勞不中斷，最終實現業(yè)務連續(xù)性。信息科技風險審計之

——信息系統(tǒng)開發(fā)測試和維護

信息系統(tǒng)是一個以人為主導，吸取經驗和遵照規(guī)律并重，利用適合的信息技術以及相應設備，根據相應的業(yè)務模型和數學模型，進行信息的收集、傳輸、加工、儲存、更新和維護，以提高組織的效益和效率為目的，支持組織的高層決策、中層控制、基層運作的集成化的人機系統(tǒng)。信息系統(tǒng)開發(fā)維護是為了使信息系統(tǒng)處開合用狀態(tài)而采取的一系列措施，目的是糾正錯誤和改進功能，保證信息系統(tǒng)正常工作，有以下四種類型：改正性維護，適應性維護，完善性維護，預防性維護。信息科技風險審計之

——信息科技運行

良好的信息科技運行必須在設計階段就開始考慮。用戶、負責信息科技系統(tǒng)運行的人應該參與信息系統(tǒng)開發(fā)的設計階段，這樣信息科技的運行問題在一開始就可以得到足夠的重視。在工作中往往最容易忽略的就是硬件失敗、程序非正常退出、文檔說明和支持缺乏等問題。設計階段要保證防止用戶使用錯誤的快捷方式，還要考慮新、老系統(tǒng)轉換的細節(jié)。如果是購置其他公司提供的軟件包，問題就會更加復雜。時代新威的信息技術專家在工作中要求格外強調注意這一系列問題，也就防止了很多不必要的失誤和麻煩。信息科技運行戰(zhàn)略必須要解決下述主要問題：〔1〕保證構造合理的信息系統(tǒng)結構并將其實現?！?〕保證新系統(tǒng)開發(fā)方式可以滿足企業(yè)長期維護的目標。〔3〕保證內部和外部采購的決策能得到認真的考慮?！?〕決定信息技術運行是由一個部門管理還是分成一系列小單元管理，按照小單元進行管理雖然本錢高，但是能為用戶提供更好的效勞。信息科技風險審計之

——業(yè)務連續(xù)性管理業(yè)務連續(xù)性管理〔BusinessContinuityManagement，簡稱BCM〕，是一項綜合管理流程，它使企業(yè)認識到潛在的危機和相關影響，制訂響應、業(yè)務和連續(xù)性的恢復方案，其總體目標是為了提高企業(yè)的風險防范能力，以有效地響應非方案的業(yè)務破壞并降低不良影響。業(yè)務連續(xù)性管理系統(tǒng)〔BCMS〕是經常進行的活動的集合，業(yè)務連續(xù)性管理支持企業(yè)業(yè)務連續(xù)性管理活動，也支持技術災難恢復活動。這些可以包括工程規(guī)劃和管理、人員配備、方案、預測、預算編制、研究和開發(fā)、資源管理、通信、會議、教育活動、宣傳和促銷活動、活動網站、績效評估活動、按天進行處理查詢和許多其他活動。

業(yè)務連續(xù)性管理也有利于多種工程性的活動，業(yè)務連續(xù)性管理執(zhí)行業(yè)務影響分析和風險分析、進行評估、制定并記錄BC/DR方案、規(guī)劃和執(zhí)行BC/DR演練、準備和進行應急隊伍培訓、準備記錄事件響應計劃，并設計BC/DR策略。信息科技風險審計之

——外包外包是指企業(yè)動態(tài)地配置自身和其他企業(yè)的功能和效勞，并利用企業(yè)外部的資源為企業(yè)內部的生產和經營效勞。外包是一個戰(zhàn)略管理模型，舉例來說，一個生產企業(yè)，如果為了原材料及產品運輸而組織一個車隊，在兩個方面其本錢會大大增加。第一，管理本錢增加，因為它在運輸領域不具備管理經驗。第二，因管理不善，運輸環(huán)節(jié)嚴重影響生產和銷售環(huán)節(jié)的工作，從而導致生產和銷售環(huán)節(jié)的本錢增加。如果把運輸業(yè)務外包給專業(yè)的運輸企業(yè)，那么可以大幅度降低上述本錢。這些就是時代新威的工作人員根據日常工作的實際案例總結出的關于外包的重點利弊，也是外包工作中必須引起注意的地方。另一方面，企業(yè)也因市場競爭的劇烈面臨巨大的挑戰(zhàn)。外包方式主要有合同業(yè)務管理方式〔BMC〕和委托方式。合同業(yè)務管理方式純粹是一種外包方購置第三方效勞模式，第三方〔承包方〕負責全部或大局部投資和業(yè)務管理工作，并承擔投資風險；外包方只根據第三方完成業(yè)務的績效和合同約束那么購置效勞，不用負責第三方的投資風險；合同終止那么合作終止。信息科技風險審計之

——內部審計

時代新威風險審計專家對于內部審計的定義是：對組織中各類業(yè)務和控制進行獨立評價，以確定是否遵循公認的方針和程序，是否符合規(guī)定和標準，是否有效和經濟的使用了資源，是否在實現組織目標。審計人員在進行審計時,常使用不同的審計方法,有時同時結合幾種審計方法進行審計。實際操作中內部審計方法有多種，現總結整理如下〔詳情參考時代新威信息科技風險審計之內部審計〕

一、詢問法也稱為訪談法是指審計人員與被審計單位或有關人員進行面對面交談，以了解有關情況、收集審計證據的一種方法。詢問法的使用范圍包括：在方案階段中了解情況，實施階段時收集證據，報告階段相互溝通情況等。內審人員在實施時要注意同時要有兩名審計人中在場。二、審核法審核法是指對會計記錄和其他書面文章進行審閱與核對，這方面占審計工作的比重比較大。它主要在查閱會計資料、預算、方案、會議記錄及各種規(guī)章制度等資料使用。信息科技風險審計之

——外部審計

外部審計是指獨立于政府機關和企事業(yè)單位以外的國家審計機構所進行的審計，以及獨立執(zhí)行業(yè)務會計師事務所接受委托進行的審計。外部審計實際上是對企業(yè)內部虛假、欺騙行為的一個重要而系統(tǒng)的檢查，因此起著鼓勵老實的作用：由于知道外部審計不可防止地要進行，企業(yè)就會努力防止做那些在審計時可能會被發(fā)現的不榮耀的事。

我國財政、銀行、稅務部門為了做好其本職工作,而對其管轄區(qū)各單位的業(yè)務(如稅利上繳和信貸資金使用情況等)所進行的檢查,不屬于審計,更談不上是外部審計,而只是經濟監(jiān)督中的財政監(jiān)督、稅務監(jiān)督和信貸監(jiān)督。

外部審計包括國家審計和社會審計。

國家審計是指由國家審計機關所實施的審計。國家審計的主體是審計署以及各省、市、自治區(qū)、縣設立的審計機關，對被審計單位的財務財政活動、執(zhí)行財經法紀情況以及經濟效益性進行審計監(jiān)督。社會審計是指由經政府有關部門審核批準的社會中介機構進行的審計，其主體是注冊會計師。

內部審計和外部審計的聯系：內部審計和外部審計總體目標是一致的,兩者均是審計監(jiān)督體系的有機組成部門。內部審計具有預防性、經常性和針對性,是外部審計的根底,對外部審計能起輔助和補充作用;而外部審計對內部審計又能起到支持和指導作用。由于內部審計機構和外部審計機構所處的地位不同,它們在獨立性、強制性、權威性和公證作用方面又有較大的差異。

以上就是信息科技審計所包括的具體范圍，既然了解了它都包括那些方面。

下面我們來看一下時代新威內部總結關于信息科技審計具體的方法及過程。信息科技風險審計過程簡略圖：1.信息科技風險審計準備

1〕審計準備

2〕審計方案

3〕審計方案1〕審計準備：a.明確審計任務，確定審計重點b.編制審計方案審計方案分為總體審計方案和具體審計計劃。2〕審計方案：審計方案是對具體審計工程的審計程序及其時間等所做出的詳細安排。a、具體審計目的。具體審計目的是對總體審計的細化，直接用以指導具體審計方法及程序。b、具體審計方法和程序。c、預定的執(zhí)行人及執(zhí)行日期。d、其他有關內容。3〕審計方案：是指注冊會計師為了完成各項審計業(yè)務，到達預期的審計目標，在具體執(zhí)行審計程序之前編制的工作方案。審計方案通?？煞譃榭傮w審計方案和具體審計方案兩局部。2.信息科技現場審計

1〕文件評審

2〕訪談走查

3〕技術測試3.信息科技風險分析評價

1〕風險分析

2〕風險評價1〕風險分析實際上就是貫穿在軟件工程過程中的一系列風險管理步驟，其中包括：風險識別、風險估計、風險管理策略、風險解決和風險監(jiān)督等。2〕風險評價是在風險識別和風險估測的根底上，對風險發(fā)生的概率，損失程度，結合其他因素進行全面考慮，評估發(fā)生風險的可能性及危害程度，并與公認的平安指標相比較，以衡量風險的程度，并決定是否需要采取相應的措施的過程．財務風險評價，主要是通過資產負債表、利潤表、現金流量表，分析企業(yè)財務狀況的變動趨勢及資產、負債、收益之間的關系，從財務報表的會計信息中挖掘企業(yè)內在的財務關系。4.信息科技審計報告

1〕審計發(fā)現確認

2〕審計報告

3〕改進建議

此文謹代表北京時代新威信息技術對于信息科技風險審計的局部意見和看法，僅供參考，希望對大家有所幫助。寶山壁畫寶山壁畫是引人注目